Il Garante per la protezione dei dati personali, con provvedimento n. 553 del 12 settembre 2024, ha sanzionato una società per diverse violazioni riscontrate durante le attività di telemarketing e di invio di comunicazioni commerciali, con particolare riferimento all’inadeguatezza del consenso acquisito.
In particolare, l’Autorità, ha accertato che la società ha svolto attività di marketing, telefonico e tramite sms, in assenza di adeguate verifiche sugli adempimenti in materia di informativa e consenso, e senza consultare l’iscrizione delle utenze contattate nel Registro Pubblico delle Opposizioni prima di ogni campagna promozionale.
Dall’istruttoria è emerso che:
- alcune delle utenze erano state contattate in base ad un consenso acquisito molto tempo prima e in alcuni casi in epoca antecedente alla piena efficacia del GDPR, senza che la società ne verificasse l’idoneità anche dopo il cambio del quadro normativo
- è stato considerato valido un consenso che conteneva, in un’unica formulazione, le distinte finalità di marketing e di comunicazione di dati a terzi per attività promozionali
- la società considerava idoneo il consenso al marketing automaticamente fornito dagli utenti in fase di registrazione al sito internet e quello reso obbligatoriamente per poter usufruire del servizio offerto.
Pertanto, il Garante ha accertato la violazione:
- degli artt. 5, par. 1, lett. a), 6, par. 1, lett. a) del GDPR e art. 130 del Codice Privacy, per aver utilizzato, per finalità promozionali, i dati degli interessati acquisiti da soggetti terzi senza verificare adeguatamente l’esistenza di un consenso che rispettasse i requisiti di libertà e specificità, e che tenesse conto del rilascio, sempre dai predetti soggetti terzi, di una idonea informativa in cui fosse indicata la corretta base giuridica dell’attività commerciale e tutti gli elementi necessari per la piena consapevolezza dei trattamenti
- dell’art. 6, par. 1, lett. a) del GDPR, nonché dell’art. 130, commi 1 e 2, del Codice Privacy per aver realizzato comunicazioni promozionali (sms) in assenza del consenso preventivo dell’interessato e sull’assunto che l’esistenza di un account per l’uso della piattaforma potesse autorizzarne l’invio.
Oltre alla sanzione pecuniaria, il Garante ha ingiunto alla società di verificare, anche mediante controlli a campione, la liceità delle utenze da contattare e di adottare misure adeguate a contestualizzare la volontà dell’interessato a ricevere telefonate promozionali, registrando nei sistemi le modalità e i tempi di acquisizione dei dati personali.
In assenza di uno specifico consenso degli interessati, l’Autorità ha infine vietato ogni ulteriore trattamento con finalità promozionale dei dati personali riferiti ad account aperti sulla piattaforma, poiché disporre di un account per una piattaforma on demand non significa infatti aver espresso un consenso alla ricezione di comunicazioni promozionali.
